移行フェーズ 3 - クライアント側の構成Migration phase 3 - client-side configuration

*適用対象: Active Directory Rights Management サービス、 Azure Information ProtectionOffice 365**Applies to: Active Directory Rights Management Services, Azure Information Protection, Office 365*

*関連: AIP のラベル付けクライアントと従来のクライアント**Relevant for: AIP unified labeling client and classic client*

AD RMS から Azure Information Protection への移行フェーズ 3 では、次の情報を使用してください。Use the following information for Phase 3 of migrating from AD RMS to Azure Information Protection. これらの手順では、「AD RMS から Azure Information Protection への移行」の手順 7 を説明します。These procedures cover step 7 from Migrating from AD RMS to Azure Information Protection.

手順 7.Step 7. Azure Information Protection を使用するように Windows コンピューターを再構成するReconfigure Windows computers to use Azure Information Protection

次のいずれかの方法を使用して、Azure Information Protection を使用するように Windows コンピューターを再構成します。Reconfigure your Windows computers to use Azure Information Protection using one of the following methods:

  • DNS リダイレクトDNS redirection. サポートされている場合は、最も単純で推奨される方法です。Simplest and preferred method, when supported.

    Office 2016 以降のデスクトップアプリを使用する Windows コンピューターでサポートされています。次にその一部を示します。Supported for Windows computers that use Office 2016 or later click-to-run desktop apps, including:

    • Microsoft 365 アプリMicrosoft 365 apps
    • Office 2019Office 2019
    • Office 2016 クリックしてデスクトップアプリを実行するOffice 2016 click to run desktop apps

    新しい SRV レコードを作成し、AD RMS 発行エンドポイントのユーザーに NTFS 拒否アクセス許可を設定する必要があります。Requires you to create a new SRV record and set an NTFS deny permission for users on the AD RMS publishing endpoint.

    詳細については、「 DNS リダイレクトを使用したクライアントの再構成」を参照してください。For more information, see Client reconfiguration by using DNS redirection.

  • レジストリの編集Registry edits. 次の両方を含む、サポートされているすべての環境に関連します。Relevant for all supported environments, including both:

    • Office 2016 以降を使用する Windows コンピューターでは、上に示したように、デスクトップアプリを実行します。Windows computers that use Office 2016 or later click-to-run desktop apps, as listed above
    • 他のアプリを使用する Windows コンピューターWindows computers that use other apps

    必要なレジストリ変更を手動で行うか、ダウンロード可能なスクリプトを編集および展開して、レジストリを変更します。Make the required registry changes manually, or edit and deploy downloadable scripts to make the registry changes for you.

    詳細については、「 レジストリの編集を使用したクライアントの再構成」を参照してください。For more information, see Client reconfiguration by using registry edits.

ヒント

DNS リダイレクトを使用できる、または使用できない Office のバージョンが混在している場合は、DNS リダイレクトを組み合わせて使用するか、レジストリを編集するか、すべての Windows コンピューターの単一の方法としてレジストリを編集することができます。If you have a mixture of Office versions that can and cannot use DNS redirection, you can either use a combination of DNS redirection and editing the registry, or edit the registry as a single method for all Windows computers.

DNS リダイレクトを使用するクライアントの再構成Client reconfiguration by using DNS redirection

この方法は、Microsoft 365 アプリと Office 2016 (またはそれ以降) の [クリックして実行] デスクトップアプリを実行する Windows クライアントにのみ適しています。This method is suitable only for Windows clients that run Microsoft 365 apps and Office 2016 (or later) click-to-run desktop apps.

  1. 次のような形式を使用して DNS SRV レコードを作成します。Create a DNS SRV record using the following format:

    _rmsredir._http._tcp.<AD RMS cluster>. <TTL> IN SRV <priority> <weight> <port> <your tenant URL>.
    

    <AD RMS cluster> では、AD RMS クラスターの FQDN を指定します。For <AD RMS cluster>, specify the FQDN of your AD RMS cluster. 例: rmscluster.contoso.comFor example, rmscluster.contoso.com.

    代わりに、そのドメインに 1 つだけ AD RMS クラスターがある場合は、AD RMS クラスターのドメイン名だけを指定できます。Alternatively, if you have just one AD RMS cluster in that domain, you can specify just the domain name of the AD RMS cluster. この例では、contoso.com になります。In our example, that would be contoso.com. このレコードにドメイン名を指定すると、リダイレクトがそのドメインの任意またはすべての AD RMS クラスターに適用されます。When you specify the domain name in this record, the redirection applies to any and all AD RMS clusters in that domain.

    この <port> 数値は無視されます。The <port> number is ignored.

    <your tenant URL> では、テナントに独自の Azure Rights Management サービスの URLを指定します。For <your tenant URL>, specify your own Azure Rights Management service URL for your tenant.

    Windows Server で DNS サーバー ロールを使用する場合、DNS マネージャー コンソールで SRV レコード プロパティを指定する方法の例として、次の表を使用できます。If you use the DNS Server role on Windows Server, you can use the following table as an example how to specify the SRV record properties in the DNS Manager console.

    フィールドField Value
    ドメインDomain _tcp.rmscluster.contoso.com_tcp.rmscluster.contoso.com
    サービスService _rmsredir_rmsredir
    プロトコルProtocol _http_http
    優先順位Priority 00
    WeightWeight 00
    ポート番号Port number 8080
    このサービスを提供しているホストHost offering this service 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com
  2. Microsoft 365 アプリまたは Office 2016 (またはそれ以降) を実行しているユーザーの AD RMS 発行エンドポイントに対する拒否アクセス許可を設定します。Set a deny permission on the AD RMS publishing endpoint for users running Microsoft 365 apps or Office 2016 (or later):

    a.a. クラスター内の AD RMS サーバーのいずれかで、Internet Information Services (IIS) マネージャー コンソールを開始します。On one of your AD RMS servers in the cluster, start the Internet Information Services (IIS) Manager console.

    b.b. [ 既定の Web サイト ] に移動し、[ _wmcs] を展開します。Navigate to Default Web Site and expand _wmcs.

    c.c. [ ライセンス ] を右クリックし、[ コンテンツビューに切り替え] を選択します。Right-click licensing and select Switch to Content View.

    d.d. 詳細ペインで、[ライセンス] を右クリックし ます。 .asmx > プロパティ の > 編集In the details pane, right-click license.asmx > Properties > Edit

    e.e. [ Permissions のアクセス許可 ] ダイアログボックスで、すべてのユーザーにリダイレクトを設定する場合は [ ユーザー ] を選択し、[ 追加 ] をクリックして、リダイレクトするユーザーを含むグループを指定します。In the Permissions for license.asmx dialog box, either select Users if you want to set redirection for all users, or click Add and then specify a group that contains the users that you want to redirect.

    すべてのユーザーが DNS リダイレクトをサポートする Office のバージョンを使用している場合でも、段階的な移行のために、最初にユーザーのサブセットを指定したい場合があります。Even if all your users are using a version of Office that supports DNS redirection, you might prefer to initially specify a subset of users for a phased migration.

    f.f. 選択したグループの [読み取りと実行][読み取り] のアクセス許可に [拒否] を選択して、[OK] を 2 回クリックします。For your selected group, select Deny for the Read & Execute and the Read permission, and then click OK twice.

    g.g. この構成が想定どおりに動作することを確認するには、ブラウザーから直接 licensing.asmx ファイルへの接続を試みます。To confirm this configuration is working as expected, try to connect to the licensing.asmx file directly from a browser. 次のエラーメッセージが表示されます。 Microsoft 365 アプリまたは Office 2019 または Office 2016 を実行しているクライアントをトリガーして SRV レコードを探します。You should see the following error message, which triggers the client running Microsoft 365 apps or Office 2019 or Office 2016 to look for the SRV record:

    エラー メッセージ 401.3: 指定した資格情報を使用して、このディレクトリまたはページを表示するアクセス許可がありません (アクセス制御リストにより、アクセスが拒否されました)。Error message 401.3: You do not have permissions to view this directory or page using the credentials you supplied (access denied due to Access Control Lists).

レジストリの編集を使用するクライアントの再構成Client reconfiguration by using registry edits

この方法は、すべての Windows クライアントに適しており、Microsoft 365 アプリ、または Office 2016 (またはそれ以降) を実行しない場合に使用する必要があります。This method is suitable for all Windows clients and should be used if they do not run Microsoft 365 apps, or Office 2016 (or later). この方法では、2 つの移行スクリプトを使って AD RMS クライアントを再構成します。This method uses two migration scripts to reconfigure AD RMS clients:

  • Migrate-Client.cmdMigrate-Client.cmd

  • Migrate-User.cmdMigrate-User.cmd

クライアント構成スクリプト (Migrate-Client.cmd) は、コンピューター レベルの設定をレジストリ内で構成します。つまり、それらの設定を変更できるセキュリティ コンテキストで、このスクリプトを実行する必要があります。The client configuration script (Migrate-Client.cmd) configures computer-level settings in the registry, which means that it must run in a security context that can make those changes. 通常、次のいずれかの方法が使用されます。This typically means one of the following methods:

  • グループ ポリシーを使用して、コンピューターのスタートアップ スクリプトとしてスクリプトを実行します。Use group policy to run the script as a computer startup script.

  • グループ ポリシー ソフトウェア インストールを使用して、スクリプトをコンピューターに割り当てます。Use group policy software installation to assign the script to the computer.

  • ソフトウェア デプロイ ソリューションを使用して、スクリプトをコンピューターにデプロイします。Use a software deployment solution to deploy the script to the computers. たとえば、System Center Configuration Manager のパッケージとプログラムを使用します。For example, use System Center Configuration Manager packages and programs. パッケージとプログラムのプロパティの [実行モード] で、デバイスに対して管理者アクセス許可でスクリプトが実行されるように指定します。In the properties of the package and program, under Run mode, specify that the script runs with administrative permissions on the device.

  • ユーザーがローカルの管理者特権を持つ場合は、ログオン スクリプトを使用します。Use a logon script if the user has local administrator privileges.

ユーザー構成スクリプト (Migrate-User.cmd) は、ユーザー レベルの設定を構成し、クライアントのライセンス ストアをクリーンアップします。The user configuration script (Migrate-User.cmd) configures user-level settings and cleans up the client license store. つまり、このスクリプトは、実際のユーザーのコンテキストで実行する必要があります。This means that this script must run in the context of the actual user. 次に例を示します。For example:

  • ログオン スクリプトを使用します。Use a logon script.

  • グループ ポリシー ソフトウェア インストールを使用して、ユーザーが実行するためのスクリプトを発行します。Use group policy software installation to publish the script for the user to run.

  • ソフトウェア デプロイ ソリューションを使用して、スクリプトをユーザーにデプロイします。Use a software deployment solution to deploy the script to the users. たとえば、System Center Configuration Manager のパッケージとプログラムを使用します。For example, use System Center Configuration Manager packages and programs. パッケージとプログラムのプロパティの [実行モード] では、ユーザーのアクセス許可でスクリプトが実行されるように指定します。In the properties of the package and program, under Run mode, specify that the script runs with the permissions of the user.

  • コンピューターにサインインする場合に、スクリプトを実行するようにユーザーに求めます。Ask the user to run the script when they are signed in to their computer.

2 つのスクリプトは、バージョン番号を含んでおり、このバージョン番号が変更されるまで再実行されません。The two scripts include a version number and do not rerun until this version number is changed. すなわち、移行が完了するまで、スクリプトを所定の場所に置いておくことができます。This means that you can leave the scripts in place until the migration is complete. ただし、コンピューターに再実行させるスクリプトおよび Windows コンピューター上でユーザーに再実行させるスクリプトに変更を加えた場合は、両方のスクリプトの次の行をより大きな値に更新します。However, if you do make changes to the scripts that you want computers and users to rerun on their Windows computers, update the following line in both scripts to a higher value:

SET Version=20170427

ユーザー構成スクリプトは、クライアント構成スクリプトの後で実行するように設計されており、バージョン番号を使用してその確認が行われます。The user configuration script is designed to run after the client configuration script, and uses the version number in this check. 同じバージョンを持つクライアント構成スクリプトが実行されていない場合は、停止します。It stops if the client configuration script with the same version has not run. この確認方法により、2 つのスクリプトは適切な順序で実行されます。This check ensures that the two scripts run in the right sequence.

すべての Windows クライアントを一度に移行できない場合は、クライアントのバッチ処理のための次の手順を実行します。When you cannot migrate all your Windows clients at once, run the following procedures for batches of clients. バッチで移行する Windows コンピューターを使用しているユーザーごとに、前に作成した AIPMigrated グループにユーザーを追加します。For each user who has a Windows computer that you want to migrate in your batch, add the user to the AIPMigrated group that you created earlier.

レジストリの編集に使用するスクリプトを変更するModifying the scripts for registry edits

  1. 移行スクリプト Migrate-Client.cmd および Migrate-User.cmd に戻ります。準備段階 でこれらのスクリプトをダウンロードしたときに抽出済みです。Return to the migration scripts, Migrate-Client.cmd and Migrate-User.cmd, which you extracted previously when you downloaded these scripts in the preparation phase.

  2. Migrate-client.cmd の指示に従って、テナントの Azure Rights Management サービスの url と、AD RMS クラスターのエクストラネットライセンス url およびイントラネットライセンス url のサーバー名が含まれるようにスクリプトを変更します。Follow the instructions in Migrate-Client.cmd to modify the script so that it contains your tenant's Azure Rights Management service URL, and also your server names for your AD RMS cluster extranet licensing URL and intranet licensing URL. 次に、前述したスクリプトのバージョンをインクリメントします。Then, increment the script version, which was previously explained. スクリプトのバージョンを追跡する場合は、現在の日付を YYYYMMDD 形式で使用することをお勧めします。A good practice for tracking script versions is to use today's date in the following format: YYYYMMDD

    重要

    前と同様に、アドレスの前後に余分なスペースが挿入されないように注意してください。As before, be careful not to introduce additional spaces before or after your addresses.

    さらに、AD RMS サーバーが SSL/TLS サーバー証明書を使用している場合は、ライセンス URL の文字列にポート番号 443 が含まれることを確認します。In addition, if your AD RMS servers use SSL/TLS server certificates, check whether the licensing URL values include the port number 443 in the string. (例: https://rms.treyresearch.net:443/_wmcs/licensing)。For example: https://rms.treyresearch.net:443/_wmcs/licensing. この情報は、Active Directory Rights Management サービス コンソールでクラスター名をクリックして、[クラスターの詳細] で確認できます。You can find this information in the Active Directory Rights Management Services console when you click the cluster name and view the Cluster Details information. ポート番号 443 が URL に含まれる場合は、スクリプトを変更するときにこの値を含めます。If you see the port number 443 included in the URL, include this value when you modify the script. たとえば、https://rms.treyresearch.net:443 のように指定します。For example, https://rms.treyresearch.net:443.

    Azure Rights Management サービスの < > url を取得する必要がある場合は、「」に戻り、 azure Rights Management サービスの url を確認してください。If you need to retrieve your Azure Rights Management service URL for <YourTenantURL>, refer back to To identify your Azure Rights Management service URL.

  3. この手順の先頭に示した説明に従って、AIPMigrated グループのメンバーによって使用されている Windows クライアント コンピューター上で Migrate-Client.cmd および Migrate-User.cmd を実行するようにスクリプト デプロイ方法を構成します。Using the instructions at the beginning of this step, configure your script deployment methods to run Migrate-Client.cmd and Migrate-User.cmd on the Windows client computers that are used by the members of the AIPMigrated group.

次のステップNext steps

移行を続行するには、「移行フェーズ 4 - サービス構成のサポート」に進んでください。To continue the migration, go to phase 4 -supporting services configuration.